- موجی که در آن هکرها به پروتکل های کریپتو و دیفای ضربه می زنند همچنان در حال افزایش است.
- بیش از 130 میلیون دلار به دلیل حملات به صنعت کریپتو در سال 2021 از دست رفت.
- چرا هکرها همچنان صنعت کریپتو را هدف قرار می دهند؟
موجی که در آن هکرها به طور گسترده به فضای DeFi و صنعت ارزهای دیجیتال ضربه زدند، همچنان منبع نگرانی برای صنعت بوده است.
بر اساس گزارش ها، 169 حادثه هک بلاک چین در سال 2021 رخ داده است که نزدیک به 7 میلیارد دلار از منابع مالی به دست هکرها رفته است. طی ماه گذشته، حداقل پنج مورد هک کریپتو با پروتکل DeFi Cream Finance گزارش شد که آخرین مورد مورد حمله این هکرها قرار گرفت. گفته می شود بیش از 130 میلیون دلار به سرقت رفته است.
به جای این موارد، Cryptopolitan با دیمیتری میشونین، مدیر عامل و بنیانگذار HashEx، یک شرکت تحقیق و توسعه با تمرکز بر ادغام بلاک چین در فرآیندهای تجاری و امنیت سایبری صحبت کرد. دیمیتری دارای پیشینه فنی قوی در امنیت سایبری و برنامه های غیرمتمرکز و همچنین تجربه چشمگیر در توسعه سیستم های امنیت اطلاعات است.
در زیر گزیده هایی از این مصاحبه را مشاهده می کنید
س: آیا از تعداد هک ها و سوء استفاده هایی که اخیراً کاربران با آن روبرو هستند شگفت زده شده اید؟
متاسفانه نه. ما شاهد هستیم که افراد بیشتری در حال نوشتن قراردادهای هوشمند خود هستند. اما اغلب آنها از برنامه نویسی کافی و درک خوبی از Solidity برخوردار نیستند – در حال حاضر تنها زبان برنامه نویسی سازگار با اتریوم. داشتن درک خوب از زبان برنامه نویسی برای ایجاد یک پروتکل DeFi قابل اعتماد ضروری است و ندانستن برخی از نکات ظریف آن ممکن است به راحتی منجر به سوء استفاده ها و سرمایه های سرقت شده شود.
س: پذیرش یا امضای قرارداد هوشمندی که حاوی کدهای مخرب است چگونه می تواند منجر به سرقت دارایی های شما شود؟
هر کاربر باید بداند که تراکنشهای بلاک چین برگشتناپذیر هستند: هنگامی که مقدار مشخصی از یک توکن ERC-20 را به یک قرارداد هوشمند ERC-20 تأیید کردید، به طور غیرقابل برگشتی به آن منتقل میشود. یک قرارداد ممکن است دارای کد منبع تایید شده بدون اکسپلویت باشد، اما همچنین میتواند دارای تعدادی کتابخانه تایید نشده به عنوان یک وابستگی باشد. تأیید نشانهها برای چنین قراردادی خطر بزرگی است زیرا نمیتوانید نحوه عملکرد کتابخانه را بررسی کنید.
این مورد در پروژه StableMarket بود، زمانی که حداقل 27 میلیون دلار از سرمایه کاربران به سرقت رفت. قراردادهای پروژه StableMarket دارای یک کد ممیزی شده بودند اما با یک کتابخانه تایید نشده مستقر شدند. این کتابخانه مخرب بود و توکن های کاربران ذخیره شده در پروتکل را به سرقت برد.
یکی دیگر از خطرات برای کاربران، تأیید توکنها به یک قرارداد هوشمند قابل ارتقا است: چنین قراردادی ممکن است به طور خودکار با کدهای مخرب ارتقا یابد و توکنهای تأیید شده را بدزدد.
اغلب برنامههای ظاهری حداکثر مقدار توکنها را برای قرارداد تأیید میکنند، نه فقط مقدار توکنی که قرار است استفاده شود. برای پرداخت گاز در یک معامله انجام می شود. اگر کاربر توکنهایی را به یک قرارداد واریز کند، باید هزینه گاز را نیز بپردازد. اما اگر قراردادی به صورت مخرب عمل کند، در آن صورت میتواند هر مقدار توکن را از کیف پول خارج کند.
بنابراین، بهترین روش برای حداکثر امنیت، همیشه بررسی میزان تاییدیه و تایید تنها مبلغی است که برای عملیات قرارداد مورد نیاز است.
س: آیا هکرها باهوشتر میشوند یا کاربران ارزهای دیجیتال با رویههای امنیت سایبری خود کمتر محتاط میشوند؟
هر دو گفته درست است. هکرها در بهره برداری از پلتفرم های وام فلش همراه با پروتکل های مختلف برای ایجاد و بهره برداری از آسیب پذیری ها پیشرفت جدی داشته اند. آن پلتفرمهای دیگر به تنهایی در بیشتر مواقع امن هستند، اما وامهای فلش پیچیدگی ساختاری بیشتری ایجاد میکنند که آسیبپذیریها را بیشتر میکند.
چنین حملاتی بسیار پیچیده هستند. حتی تجزیه و تحلیل آنها زمان زیادی می برد. و همچنین هک های زیادی از پروژه ها وجود دارد که فقط دارای کد ضعیف با باگ های ساده هستند که در صورت انجام آزمایشات یا بررسی صحیح کد به احتمال زیاد از بین خواهند رفت.
بخشی از تقصیر نیز متوجه کاربران است، زیرا بسیاری از آنها در مورد اقدامات ایمن که خطرات را به حداقل می رساند، مانند ذخیره سازی سرد، می دانند. اما اغلب آنها را نادیده می گیرند و سر خود را به خاطر فرصتی که می تواند بازگشت سرمایه چند برابری برای آنها به ارمغان بیاورد از دست می دهند. گاهی اوقات، آنها به سادگی پول خود را از دست می دهند.
س: چگونه کاربران می توانند بهتر از دارایی های خود در Metamask و برنامه های مرتبط مانند OpenSea و DeFi محافظت کنند؟
بهترین محافظت این است که همه دارایی ها را در کیف های داغ ذخیره نکنید، بلکه آنها را به کیف های سرد بفرستید: دومی ها به اینترنت دسترسی ندارند. بهتر است فقط مقدار کمی از دارایی های مورد نیاز برای عملیات را در کیف های داغ ذخیره کنید و بقیه را در انبار سرد نگهداری کنید.
علاوه بر این، کاربران باید از قوانین امنیتی استاندارد پیروی کنند: از آنتی ویروس ها استفاده کنند، از باز کردن لینک های مشکوک در ایمیل ها خودداری کنند و در صورت امکان از احراز هویت دو مرحله ای استفاده کنند.
س: آیا فکر می کنید هک ها و اکسپلویت ها با رشد صنعت رایج تر می شوند؟
با رشد صنعت و راه اندازی پروژه های بیشتر، تعداد بیشتری از آنها با خطر هک شدن مواجه خواهند شد. شما نمی توانید تمام باگ ها را در همه پروژه ها از بین ببرید، اما شرکت های امنیتی بلاک چین به طور مداوم در تلاش هستند تا آنها را به حداقل برسانند. این نه تنها شامل ممیزی کد منبع پروژهها میشود، بلکه ابزارهای تحلیلی نیز توسعه میدهد که به جلوگیری از ظاهر شدن کامل باگها یا حداقل یافتن آنها در مراحل اولیه توسعه کمک میکند.
س: HashEx چه نقشی در گسترش صنعت ارزهای دیجیتال دارد؟
ما مردم را در مورد شفافیت و ایمنی استفاده از برنامه های غیرمتمرکز آگاه می کنیم. منطق کار آنها برای یک کاربر معمولی بسیار پیچیده و نامشخص است. همچنین، هیچ فرد عاقلی مانند پینوکیو در میدان معجزه، پول خود را به چیزی که نمی فهمد سپرد. ما مفاهیم پیچیده را با عبارات ساده توضیح می دهیم و مشکلاتی را که مردم باید از آنها آگاه باشند و سعی کنند از آنها اجتناب کنند را آشکار می کنیم، و همچنین به سرمایه گذاران بالقوه کمک می کنیم تا تصمیمی آگاهانه در مورد وجوه خود بگیرند.
اما در درجه اول ما یک شرکت حسابرسی هستیم که حول محور DeFi و ارزهای دیجیتال متمرکز شده است. این بدان معناست که ما حسابرسی های زیادی از قراردادهای هوشمند انجام می دهیم و در نتیجه به پروژه های رمزنگاری کمک می کنیم تا اعتماد سرمایه گذاران را جلب کنند، زیرا سرمایه گذاران بهتر به پروژه هایی اعتماد می کنند که به خوبی از اشتباهات پرهزینه ای محافظت می شوند که می تواند از نظر مالی به سرمایه گذاران آسیب برساند.
س: نظر شما توسط جی 7 و جو بایدن، رئیس جمهور ایالات متحده، در مورد اقدامات وی برای پایان دادن به باج افزار، امنیت سایبری و هک های مکرر ارزهای دیجیتال چیست؟
بهبود مستمر استانداردهای امنیتی بخشی از ایدئولوژی معمول و سازمانی ما است. ما به دنبال جلب اعتماد به فضای غیرقابل اعتماد DeFi هستیم. و این موضوع در هر حوزه IT، نه فقط در DeFi، بسیار مهم است. با ظهور سریع محصولات نرم افزاری جدید، متاسفانه به جنبه امنیت سایبری توجه کافی نمی شود، که فرصت هایی را برای هکرها ایجاد می کند تا از آنها سوء استفاده کنند. دو دلیل اصلی برای این وجود دارد: «برنامهنویسی با کلیک ماوس» و نیروی کار با کیفیت پایین که دستمزدهای غیرضروری زیادی در اختیار آنها قرار میگیرد.
این یک نقطه ضعف کسب و کارهای IT است که به سرعت در حال رشد هستند. در این محیط سگ خواری، کسبوکارها سعی میکنند از یکدیگر پیشی بگیرند، محصولات جدیدی ارائه میدهند و اغلب با وجود اهمیت آنها، چشم خود را روی مسائل امنیتی میبندند. در نتیجه، گاهی اوقات ما سیستمهای بزرگی را دریافت میکنیم که توسط تعداد زیادی از مشتریان استفاده میشود، در حالی که همچنان باگهایی در آنها وجود دارد که میتواند منجر به از دست رفتن سرمایه کاربران شود. گاهی اوقات، عواقب این اشکالات حتی می تواند در سراسر قاره باشد.
از این منظر، دخالت دولت کاملاً موجه است. اگر دولتهای ایالتی درگیر این مسائل نبودند، چه کسی دیگری افراد تاجر حریص را تحت فشار قرار میداد و آنها را متقاعد میکرد که تلاشهای خود را صرف اقدامات امنیتی و توسعه نرمافزار به شیوهای معقول کنند؟
اگر مردم شروع به گزارش هک به سازمانهای دولتی کنند، تأثیر مثبتی خواهد داشت. اطلاعات به موقع می تواند به حداقل رساندن عواقب خرابی احتمالی با اجازه دادن به کانال های ذخیره کمک کند (وضعیت عرضه نفت به ساحل شرقی ایالات متحده را می توان به عنوان نمونه خوبی از این عمل در نظر گرفت).
استانداردهای امنیتی یکپارچه در سراسر صنعت نیز مفید خواهد بود، اگر توسط کارشناسان و نه افراد خارجی توسعه داده شوند. حتی در مرحله اولیه فعلی توسعه DApp، ما شاهد اجرای چنین استانداردهایی توسط حسابرسان برجسته هستیم. ادغام چنین پروتکل هایی به همه کمک می کند: برنامه نویسی را آسان تر می کند، کدها را ایمن تر می کند، و همچنین از سرمایه کاربران محافظت می کند.
س: این هک ها از تاثیرشان بر صنعت ارزهای دیجیتال صحبت می کنند
بازخورد برای صنعت کریپتو تلاشی برای کنترل وجوه دزدیده شده است. به نظر من چیز خوبی است. در حال حاضر، شما نمی توانید تمام امکانات دنیای واقعی را از طریق ارز دیجیتال دریافت کنید. این وضعیت روز به روز در حال تغییر است، اما تا کامل بودن فاصله زیادی دارد. بنابراین، هکرها برای برداشت وجوه غیرقانونی بهدستآمده همچنان به پل ارتباطی بین صندوقهای رمزنگاری و فیات نیاز دارند. این مرحله ای است که در آن می توان مجرمان را شناسایی کرد. هرچه تعداد بیشتری از آنها پیدا شود، تعداد کمتری تمایل به تلاش برای انجام مجدد آن خواهد داشت. میتوان به این فکر کرد که چگونه در فرهنگهای شرقی اعضای بدن را برای دزدی جدا میکردند. چنین مداخلاتی از سوی سازمانهای مجری قانون، تأثیر کاملاً مثبتی بر صنعت کریپتو و شهرت آن دارد. این اقدامات باعث می شود مردم احساس امنیت بیشتری کنند.
س: بازیگران/بازیکنان بد پشت بسیاری از این هک های کریپتو، چه تحریم هایی را برای آنها توصیه می کنید تا دیگران را بازدارند؟
همانطور که قبلاً گفته ام، من طرفدار مجازات چنین افرادی هستم. من چنین عملیاتی را به عنوان کلاهبرداری مالی با درجات مختلف شدت می بینم و اقدامات قانونی مربوطه را برای آنها اعمال می کنم. من در این برهه از زمان تلاشی برای تدوین قوانین جدید ندارم.
س: دستیابی به دنیای کریپتو بدون هک تقریبا غیرممکن است، چگونه سهامداران، سیاست گذاران و همه افراد مختلف می توانند حملات را به حداقل ممکن کاهش دهند؟
هیچ حوزه فناوری اطلاعات بدون تهدیدات سایبری قابل تصور نیست. اما وقتی در مورد مشاغل معمولی صحبت می کنیم، فقط نوک کوه یخ را می بینیم، نه کل تصویر را. هک های بسیار بیشتری وجود دارد که به چشم می خورد زیرا شرکت ها در صورت عمومی شدن چنین دانشی می توانند اعتبار آنها را تضعیف کنند. با ارزهای دیجیتال، همه چیز شفاف و به طور عمومی شناخته می شود، بنابراین رسانه های جمعی بیشتر در مورد این موارد می نویسند.
امنیت سایبری یک عمل چند بعدی است که شامل چارچوبهای نظارتی در نقاط خروج و ورود کریپتو به فیات، آموزش کاربران، تیمهای امنیت سایبری در حال بررسی کد و غیره است. این صنعت هنوز جوان است، که فرصتی عالی برای هدایت آن به سمت بردارهای درست فراهم میکند. توسعه به این ترتیب، ما میتوانیم از همان ابتدا به جای تلاش برای وصلهکردن سوراخها، از روشهای ایمنتر استفاده کنیم.